我們每個(gè)人在職業(yè)生涯中都犯過錯(cuò)誤。這里所說的錯(cuò)誤，是那種會使你馬上丟掉工作的錯(cuò)誤。舉例來說，曾經(jīng)有過一個(gè)學(xué)校的網(wǎng)絡(luò)管理員犯過這樣的錯(cuò)誤，直接導(dǎo)致了校園里的所有路由器同時(shí)重啟，而不是一個(gè)接一個(gè)。這個(gè)管理員本來是寫了個(gè)腳本，對路由器進(jìn)行安全升級，計(jì)劃中是打算一個(gè)一個(gè)的升級并重啟的，但是結(jié)果卻是同時(shí)重啟了。他經(jīng)過重新檢查腳本，才發(fā)現(xiàn)錯(cuò)誤出在沒有等待路由器重啟，就直接命令下一個(gè)路由器進(jìn)行升級。

像出現(xiàn)這種情況幾乎肯定要被學(xué)校開除了，但很幸運(yùn)，學(xué)校并沒有這樣做。不過，對于任何涉及到一場大災(zāi)難的人來說，都應(yīng)該從災(zāi)難中學(xué)到些什么。我們都學(xué)過一些危機(jī)管理的知識，在網(wǎng)絡(luò)重新恢復(fù)后，我們有必要花上幾個(gè)小時(shí)來學(xué)習(xí)該如何檢查網(wǎng)絡(luò)是否工作正常。

所幸是大多數(shù)時(shí)候，大家所面對的錯(cuò)誤并不是那么嚴(yán)峻。而不幸的是我們犯的錯(cuò)誤不見得馬上會被發(fā)現(xiàn)，這意味著這個(gè)錯(cuò)誤可能潛伏數(shù)周，數(shù)月，甚至數(shù)年時(shí)間，直到有一天造成嚴(yán)重的后果，或者監(jiān)管部門發(fā)現(xiàn)問題后把我們叫去盤問。在網(wǎng)絡(luò)安全陣地的前沿，防火墻管理是一個(gè)很重要的區(qū)域，任何簡單的錯(cuò)誤規(guī)則或配置，都可能給我們帶來無盡的后患。下面就讓我們大家一起來了解一些最常見的錯(cuò)誤：

建立毫無意義的防火墻組

一個(gè)防火墻管理員可能在超過半數(shù)的規(guī)則中都包含有一個(gè)特定的網(wǎng)絡(luò)對象。我們假定這個(gè)對象名字叫“Joe_Montana”。每次當(dāng)這個(gè)對象需要訪問網(wǎng)絡(luò)時(shí)，管理員就為這個(gè)對象添加一個(gè)IP地址，而這個(gè)地址是很多許可規(guī)則里列出的被許可的地址。這看上去沒什么問題，因?yàn)闆]有任何一個(gè)規(guī)則里包含了ANY范圍，但實(shí)際上這是個(gè)大漏洞。它使得防火墻規(guī)則變得毫無意義，而徹底梳理防火墻規(guī)則庫來解決這個(gè)問題，可能需要耗時(shí)幾個(gè)月。

從不升級防火墻軟件

很多公司的防火墻設(shè)備所采用的軟件都是過時(shí)的。在問到為什么會出現(xiàn)這種情況時(shí)，大部分企業(yè)的防火墻管理員都會說是為了保證防火墻的穩(wěn)定，或者不允許防火墻因?yàn)樯壎霈F(xiàn)暫時(shí)關(guān)閉現(xiàn)象。而實(shí)際上，防火墻產(chǎn)品廠商決定升級防火墻軟件都是有一定原因的。即使企業(yè)不一定必須更新到最新版的軟件，但如果還是運(yùn)行著五六年前的舊版軟件，或者是距離最新版本老15-20個(gè)版本舊軟件，那么就應(yīng)該考慮立刻開始升級了。

使用錯(cuò)誤的技術(shù)

之前，有個(gè)網(wǎng)絡(luò)安全管理員與監(jiān)管人員發(fā)生了爭執(zhí)，因?yàn)樵摴芾韱T在公司的安全web服務(wù)器前端放置了一個(gè)防火墻，作為第二層防護(hù)屏障。按照他的想法，這就構(gòu)成了一個(gè)雙重驗(yàn)證機(jī)制：一個(gè)用戶密碼加一個(gè)防火墻。可以說這個(gè)管理員在創(chuàng)新性上可以得滿分，但是防火墻本身并不算是一個(gè)雙重驗(yàn)證的解決方案。雙重驗(yàn)證需要你的用戶擁有兩件可驗(yàn)證對象，即所知的和所擁有的兩個(gè)對象。比如知道密碼，并擁有令牌。

偶然停電

曾經(jīng)發(fā)生過這樣一件事，有個(gè)防火墻管理員為某個(gè)項(xiàng)目而在防火墻服務(wù)器上進(jìn)行數(shù)據(jù)收集。這個(gè)管理員在調(diào)整網(wǎng)線的時(shí)候不小心碰了幾下鼠標(biāo)，這時(shí)候鼠標(biāo)指針正好在“開始”的位置，然后，鬼使神差的鼠標(biāo)指針又指到了屏幕中央彈出來的關(guān)機(jī)確認(rèn)窗口，并且點(diǎn)到了中間的關(guān)機(jī)按鈕。于是這個(gè)財(cái)務(wù)公司的防火墻就在這種情況下突然關(guān)閉了。

不良的文檔

大家肯定經(jīng)常聽說防火墻管理員抱怨無法理解全部的防火墻規(guī)則。如果管理員在建立防火墻規(guī)則時(shí)圖省事，沒有進(jìn)行詳細(xì)的文檔說明，看似節(jié)省下來的時(shí)間和精力，以后必然會花費(fèi)到去理解這些規(guī)則上。因此肯定有人聽過這樣的話“恐怕我們要重新修改防火墻設(shè)置了，以前的管理員設(shè)置的那些防火墻規(guī)則沒有注釋，所以我們很難搞清楚它們的作用。”

過度使用丟棄Drop規(guī)則

一般來說，如果時(shí)間比較緊迫，我們都會建立一些屬于過度訪問的規(guī)則，然后再在這些規(guī)則的基礎(chǔ)上，建立丟棄規(guī)則，將不允許的數(shù)據(jù)連接丟棄。之所以這樣，是因?yàn)槲覀兒芏喙芾韱T都不愿意去設(shè)置一個(gè)精確的防火墻規(guī)則。比如：“allow All DMZ devices to All Internal devices ACCEPT”，然后在這個(gè)規(guī)則之上再建立一個(gè)“All DMZ devices to Secure Network device DROP”。這兩個(gè)規(guī)則看上去沒什么問題，但是實(shí)際上卻包含了很多的后患，原因是我們沒有在第一條規(guī)則中表現(xiàn)出建立該規(guī)則的目的。如果長此以往的話，我們的防火墻規(guī)則庫就會出現(xiàn)很多“成對兒”的規(guī)則，而在記錄規(guī)則日志或修改規(guī)則時(shí)，也很容易出現(xiàn)更多的風(fēng)險(xiǎn)，或者會導(dǎo)致必要的數(shù)據(jù)被攔截。最終，我們就不得不重新改寫整個(gè)防火墻規(guī)則庫中的全部規(guī)則。#p#

使用路由作為安全策略

大家平時(shí)會遇到過很多類似的情況，當(dāng)防火墻規(guī)則庫需要修改時(shí)，路由規(guī)則也要跟著修改。當(dāng)然，如果涉及到新的網(wǎng)絡(luò)，那么這種現(xiàn)象是可以理解的。一般導(dǎo)致這種情況的錯(cuò)誤有兩種。首先，防火墻沒有默認(rèn)路由。所有路由都是手工輸入防火墻的，同時(shí)如果防火墻沒有策略，會使用最小子網(wǎng)掩碼，防止數(shù)據(jù)流向無關(guān)設(shè)備。這聽起來很不錯(cuò)，但卻是完全沒必要的，因?yàn)槿绻麖默F(xiàn)代的防火墻上刪除策略，防火墻會恢復(fù)為DENY ANY。這個(gè)設(shè)計(jì)會因此變得難以管理，最終使整個(gè)IT團(tuán)隊(duì)都不敢去修改防火墻設(shè)置了。如果每個(gè)改變都需要工程師檢查路由設(shè)置，那么會導(dǎo)致耗費(fèi)過多的時(shí)間，影響企業(yè)正常業(yè)務(wù)的運(yùn)轉(zhuǎn)，這對企業(yè)來說很不值得。

第二種情況最常出現(xiàn)在Cisco設(shè)備中，管理員通過訪問控制列表管理兩個(gè)源或目標(biāo)均為ANY的接口。實(shí)際上這個(gè)規(guī)則里的ANY并不是所有地址，而是指端口后的所有地址。只有在知道路由表與防火墻關(guān)聯(lián)的前提下，管理員才可能理解防火墻規(guī)則庫中的規(guī)則，這對于管理員來說太復(fù)雜了。

在規(guī)則中使用DNS對象

作為一個(gè)選項(xiàng)，很多防火墻都會嵌入一個(gè)源地址或目的地址作為DNS對象，如google.com。這么做看似錯(cuò)，因?yàn)間oogle.com 使用了相當(dāng)多的IP地址，就算google.com 改變了IP地址，防火墻也會放行g(shù)oogle.com的數(shù)據(jù)流。但是這種做法會導(dǎo)致相當(dāng)嚴(yán)重的安全隱患，相信任何企業(yè)都無法接受。首先，這么做會使你的防火墻更容易遭受DoS攻擊。如果連google.com都無法解析會怎么樣呢?其次，你的防火墻會浪費(fèi)CPU，內(nèi)存以及網(wǎng)絡(luò)IO來判斷每一個(gè)數(shù)據(jù)包是否屬于google.com這個(gè)域名。第三，如果你設(shè)置的DNS被黑客攻擊，包含有惡意地址的命令和控制數(shù)據(jù)中帶有g(shù)oogle.com的地址，會怎么樣呢?在這種情況下，你的防火墻會允許僵尸網(wǎng)絡(luò)發(fā)送的命令和控制數(shù)據(jù)，并作為google.com記錄在防火墻日志中。

危急時(shí)刻所作的改動

可以想象一下，如果服務(wù)器上的RAID陣列壞了，一塊硬盤報(bào)廢。你換了一塊硬盤，在重建RAID的過程中，服務(wù)器無法提供正常的服務(wù)，但是你沒有意識到這個(gè)問題。此時(shí)，你的客戶已經(jīng)被拒絕服務(wù)長達(dá)40小時(shí)了，每一分鐘你都在遭受損失。而且不斷有客戶放棄你的服務(wù)，卻選擇了競爭對手。

當(dāng)情況陷入危急時(shí)，我們往往會開始改變各種設(shè)備的配置：交換機(jī)，路由器，負(fù)載平衡服務(wù)器和防火墻，任何你懷疑導(dǎo)致服務(wù)不正常的環(huán)節(jié)都被調(diào)整了一翻?？赡苡诌^了很長一段時(shí)間后，團(tuán)隊(duì)中終于有人發(fā)現(xiàn)了問題所在。因此你又需要把所有一改過的配置從新恢復(fù)回來，但問題是沒有人會記得之前的配置，原因是之前的情況太過緊張，導(dǎo)致沒人去做修改配置的文檔。最終的結(jié)果是，你不得不再花上三天時(shí)間將各個(gè)設(shè)備的配置調(diào)試到以前的狀態(tài)。

相信所有的企業(yè)都不希望以上這種情況發(fā)生。但是事實(shí)證明這種情況卻時(shí)有發(fā)生。即使那些運(yùn)轉(zhuǎn)最好的企業(yè)也會出現(xiàn)類似問題，尤其是在防火墻配置上。不過通過自動化恢復(fù)機(jī)制，這些依靠經(jīng)驗(yàn)很難實(shí)現(xiàn)的工作變得越來越容易實(shí)現(xiàn)了。而要想知道你的企業(yè)是否具有這種針對網(wǎng)絡(luò)安全設(shè)置或其它安全設(shè)置的自動恢復(fù)功能，就要看企業(yè)是否對投資回報(bào)率進(jìn)行過明確且詳細(xì)的量化設(shè)計(jì)。畢竟，如果對于安全投入沒有明確的投資回報(bào)量化統(tǒng)計(jì)，誰能相信這個(gè)企業(yè)在安全性上是值得信賴的呢?